タスクマネージャーを開くと、下部にWindowsプロセス(サービス)が表示されます。プログラマーとして、セキュリティ調査(windows defender)のためのWindowsプロセス/サービスを作成したいのですが、いくつか質問があります。
実行可能ファイルがWindowsサービスおよび管理者として実行されている場合でも、Windows Defenderは実行可能ファイルをスキャンしてスレッドを探しますか?
Windows Defenderは、ほとんどすべてのウイルス対策/マルウェア対策ソフトウェアと同様に、非常に特権的なアクセスで実行され、デフォルトでは可能な限りすべてをスキャンします。これには、[LOCAL] SYSTEMとして実行されているサービスも含め、Windowsサービスが含まれます(実際には、サービスを管理者として実行するのは少しおかしいでしょう。管理者はユーザーアカウントであり、SYSTEMはサービスアカウントです。同等の権限があります。)
Defenderは、実行されていないファイルもスキャンします。つまり、バイナリを作成(コンパイル)したとき、またはシステムに移動したときに(ダウンロード、外部ストレージからのコピーなどによって)、バイナリがスキャンされます。安全にファイルスキャンをパスすることは可能ですが、実行可能なスキャンに捕まる可能性があります。これは、それぞれの場合に検索するシグネチャによって異なります。 わずかに逆になる可能性もありますが、それは奇妙です(そして、意味がありません。ファイルスキャンにパスできないと、実行する機会がありません)。
詳細 このMicrosoft KBページのここ :
[...]デフォルトでは、システムアカウントには、NTFSボリューム上のすべてのファイルに対するフルコントロールが付与されています。ここで、システムアカウントは、管理者アカウントと同じ機能特権を持っています。
鉱山を強調します。
Windows Defenderのマルウェア対策サービスはこのSYSTEMユーザーの下で実行され、基本的に、管理者特権で実行されているかどうかに関係なく、他のすべてのプロセスを含むすべてへのサービスアクセスを提供します。
それでもWindows Defenderがリアルタイムでスキャンしているものを確認する必要がある場合は、スーパーユーザーの質問 here に回答を投稿しました。これにより、Process Hackerを使用して、どのファイルが読み取られているかを確認する方法がわかりますサービス。
Process Hacker を使用して、スキャンされているファイルも表示できます。インストールしたら、プログラムを管理者として実行するか、ハッカードロップダウンメニューの[
Show details for all processes
]をクリックします。そこから、[ディスク]タブに移動します。読み取りまたは書き込み中のすべてのファイルが表示されます。 MsMpEng.exe(Defenderのメインの実行可能ファイル)によって読み取られていることを示すリスト内のファイルがスキャンされます。ウィンドウの右上にある検索バーに
MsMpEng.exe
を貼り付け、[ファイル]列をクリックしてアルファベット順に並べ替えると、スキャン対象のファイルのみが表示されるようにリストがフィルタリングされるため、スキャンされているものを簡単に確認できますディフェンダーが登場。